- O domínio de publicidade do Google tornou-se o farol perfeito para a cadeia de entrega de malware.
- O malware reconstruiu páginas falsas de empresas usando logotipos reais extraídos online em tempo real.
- As cinco etapas do ataque foram executadas quase inteiramente na memória, quase sem deixar rastros.
Pesquisadores de segurança cibernética alertaram sobre uma campanha de malware que usa a infraestrutura de publicidade do Google para disfarçar atividades maliciosas.
pesquisar Diana A operação parece começar com e-mails malspam contendo anexos HTML projetados para redirecionar os usuários para uma cadeia de infecção cuidadosamente dividida em camadas.
Esta campanha atraiu a atenção porque o processo de redirecionamento passou inicialmente por ad.doubleclick.net, um domínio legítimo de publicidade e rastreamento de propriedade do Google que é amplamente confiável em sistemas de segurança.
As cadeias de malware escondem-se atrás de uma infraestrutura confiável.
Esse método de roteamento é importante porque muitos gateways de e-mail e sistemas de filtragem da Web raramente tratam os domínios de publicidade do Google como suspeitos ou potencialmente maliciosos.
O anexo em si contém pouco conteúdo significativo além de um redirecionamento oculto que encaminha a vítima para uma infraestrutura adicional controlada pelo invasor.
À medida que o usuário interage com a página, a tarefa se reconfigura dinamicamente durante a execução usando dados extraídos automaticamente do endereço de e-mail do destinatário.
Depois que o usuário baixa o arquivo anexado, a cadeia de infecção muda rapidamente de uma técnica de engenharia social para uma técnica furtiva. Executando código malicioso dentro do Windows.
Os arquivos baixados usam JScript, PowerShell, carregamento reflexivo do .NET e métodos de execução na memória projetados para reduzir a detecção.
O malware evita deixar para trás os arquivos existentes enquanto executa várias etapas diretamente na memória ativa.
Esta campanha é ainda mais confiável porque cria uma marca personalizada e extrai automaticamente o logotipo da sua empresa de fontes online.
Também coletamos detalhes de localização e informações de horário local para ajudar as páginas fraudulentas a parecerem mais confiáveis para os destinatários.
Os pesquisadores dizem que o malware se concentra na furtividade.
A Huntress identificou uma sequência de cinco etapas envolvendo redirecionamento de HTML, carregador JScript, script PowerShell, componente .NET e atividades adicionais de implantação de carga oculta.
O malware verifica ambientes de depuração, sistemas sandbox e ferramentas de análise forense antes de continuar sua sequência de execução.
Ao detectar essas ferramentas, elas encerram imediatamente suas atividades e às vezes forçam a reinicialização do sistema infectado. Sem qualquer mensagem de aviso adicional.
O malware também interfere no monitoramento de segurança do Windows por meio de modificações básicas no nível da API que afetam diretamente os sistemas de telemetria AMSI e ETW.
Eles tentam se esconder injetando malware em sistemas legítimos. Utilitários assinados pela Microsoft, incluindo InstallUtil.exe e MSBuild.exe.
Essa técnica permite que comportamentos maliciosos sejam combinados com processos confiáveis do Windows que a segurança corporativa global reconhece como legítimos.
Existem também infra-estruturas de comunicações que dependem de serviços DNS dinâmicos e portas de rede não padronizadas que podem mudar rapidamente após o surgimento de medidas de defesa noutros locais.
O malware também coletou detalhes de hardware de sistemas infectados, incluindo identificadores de processador, produtos antivírus, informações de placa-mãe e hardware gráfico fabricado pela Nvidia e AMD.
Toda a operação parece estar estruturada para acesso não autorizado de longo prazo, já que o mecanismo de persistência reinicia repetidamente o processo malicioso após o sistema ser reiniciado ou desligado.
Infelizmente, a Huntress não tinha um entendimento firme do objetivo operacional final. No entanto, esta estrutura sugere prontidão para uma ampla gama de atividades invasivas remotas.
Siga o TechRadar no Google Notícias e Adicione-nos como fonte preferencial Receba notícias, análises e opiniões de especialistas em seu feed.
